JWT-декодер

Вставьте JWT-токен и посмотрите header и payload: сроки действия, издатель, права. Токен не покидает браузер.

Что такое JWT

JWT (JSON Web Token) — стандартный формат токенов авторизации: строка из трёх частей, разделённых точками. Первая часть (header) описывает алгоритм подписи, вторая (payload) содержит данные — идентификатор пользователя, права, сроки действия, третья — криптографическую подпись. Первые две части — это обычный JSON в кодировке Base64URL, поэтому их можно прочитать без всяких ключей.

Стандартные поля payload

Инструмент автоматически переводит iat, exp и nbf в обычные даты и показывает, действителен ли токен прямо сейчас.

Отладка авторизации

Типичный сценарий: API возвращает 401, и нужно понять почему. Вставьте токен из заголовка Authorization (префикс «Bearer» можно не убирать — он отбрасывается автоматически) и проверьте: не истёк ли exp, тот ли iss и aud, есть ли нужные роли в payload. Помните, что подпись здесь не проверяется — валидность подписи может подтвердить только сервер с ключом.

Частые вопросы

Безопасно ли вставлять сюда рабочий токен?

Токен декодируется полностью в вашем браузере и никуда не отправляется. Тем не менее помните: JWT — это ключ доступа, не публикуйте его в чатах и трекерах. Для продакшен-токенов лучше использовать тестовые копии.

Почему JWT можно прочитать без ключа?

Header и payload в JWT — это просто Base64URL-кодированный JSON, а не шифрование. Подпись (третья часть) лишь защищает токен от изменения. Поэтому в JWT нельзя класть секреты — любой, у кого есть токен, прочитает его содержимое.

Проверяет ли инструмент подпись токена?

Нет, для проверки подписи нужен секретный ключ или публичный ключ издателя. Инструмент показывает содержимое и проверяет только сроки действия (поля exp и nbf) по часам вашего устройства.

Обновлено: 2 июля 2026